1. el_pichon,
Tráfico de armas, desapariciones, vídeos de violaciones y pornografía infantil, piratería, drogas, contratación de otros servicios ilegales, ciberataques, hackeos hechos por expertos cualificados... asociamos todo eso con la web oscura o profunda, en inglés dark web o deep web. De hecho, muchos hemos asociado esos conceptos, y nada más que esos. No voy a decir que no existan, pero lo cierto es que no los he encontrado, no los he buscado, y no vamos a hablar de ellos en este hilo. Siento desilusionaros. En cambio, sí vamos a hablar de anonimato en la red, privacidad y seguridad, entre otras cosas.
Antes de entrar en la parte interesante y hablar de Tor, metámonos con un concepto bastante trabajado por aquí, pero no lo suficiente: la privacidad.
¿Me espían cuando navego por Internet? Es una pregunta que aparentemente sólo admite dos respuestas: sí o no. Podríamos elegir cualquiera de ellas, y estaríamos mintiendo.
Imagina que navegas por un sitio web cualquiera. Póngase como ejemplo tu periódico favorito, al que acudes a diario para leer las noticias. Se te da mal eso de escribir en la barra de direcciones, así que decides usar Google, el buscador que siempre te ha sacado de más de un apuro. Y lo haces, cómo no, con Google Chrome, que va rápido en comparación con otros navegadores. En Google tienes la sesión iniciada, porque después de leer el periódico vas a tu correo de gmail y no tienes que andar introduciendo contraseñas, y además sabes que eso te da ventajas al resolver captchas de Recaptcha. En Google Chrome también está tu cuenta de Google, porque así se sincronizan tu historial, tus marcadores y tus cookies.
Escribes en el buscador "mi periódico", y pulsas enter. Y mientras haces eso, un montón de cosas han ocurrido de golpe:
- Google ha registrado tus pulsaciones de teclado. Sabe cómo escribes, a qué velocidad lo haces y cuántos errores cometes.
- Microsoft ha hecho lo mismo, porque no te has molestado en visitar las opciones de privacidad de Windows 10 para decirle que no quieres mejorar las sugerencias de texto predictivo.
- Google ha recibido información de tu búsqueda: a qué hora la has hecho, desde qué navegador, sistema operativo y dirección IP, algo estupendo para geolocalizarte.
- A estas alturas, el servidor DNS de tu operador de Internet sabe que has entrado a Google. Afortunadamente, gracias a que la conexión es HTTPS, tu operador no sabe qué has hecho después de entrar.
Pulsas el primer resultado, que te lleva a la web de tu periódico. Google se queda con ese detalle, tal vez pueda usarlo más adelante. Chrome, por su parte, anda ahí sincronizando tu actividad. Tu sistema operativo vuelve a enviar una solicitud dns al operador para saber a qué dirección IP corresponde el nombre del dominio. Tu operador sabe que has entrado al periódico.
La web donde sueles leer las noticias no va cifrada por https. Es un medio abierto y transparente, y aplica sus políticas hasta el extremo de no protegerte. Les gusta saber qué hacen sus usuarios, así que han situado en el código scripts de Google Analytics. Como les gusta generar comunidad en las redes sociales, en cada noticia colocan widgets para que puedas compartirla por Twitter y Facebook. Además, se financian gracias a la publicidad, por lo que colocan anuncios de un proveedor conocido. Por lo tanto, ¿qué pasa mientras navegas por ella?
- Tu operador puede ver las comunicaciones, que van por http abierto. Saben dónde vas y qué lees, o mejor dicho, podrían saberlo si quisieran.
- Google sabe dónde vas, qué lees, cuánto tiempo permaneces en cada página y qué noticias te interesan más. Como tienes la sesión iniciada, sabe que eres tú, por lo que aporta al periódico datos agregados de género y edad de sus visitantes.
- Facebook y Twitter, gracias a las cookies de tu navegador, tampoco se quedan atrás. Y como no las vas a borrar porque te interesa mantener las sesiones iniciadas, elaboran por su cuenta un perfil sobre ti. De hecho, lo harían incluso si no tuvieras cuenta.
- El proveedor de anuncios, situado estratégicamente en varios sitios web, también puede saber qué información te gusta más y mostrarte anuncios relevantes.
Qué agovio, ¿no? Y todavía seguimos sin responder a la pregunta. ¿Me espían cuando navego por Internet? Y la respuesta sigue siendo la misma de antes, aunque podríamos agregarle un matiz: sí, pero a nivel colectivo. No me espían a mí por ser yo, sino para elaborar patrones de comportamiento de un colectivo de usuarios y reaccionar ante ellos de una determinada manera. No necesitan acceder a tu información bancaria o robarte los datos de la tarjeta de crédito porque, llegado el caso, sabrían qué hacer para que tú mismo estés entusiasmado por dárselos.
Ahora bien, vamos a redefinir la pregunta: ¿me pueden espiar cuando navego por Internet? ¿Tienen los recursos necesarios para juntar todos esos datos y elaborar un perfil con mi nombre, apellidos, dirección, hábitos y personalidad? Rotundamente, sí. ¿Y quién se va a tomar tantas molestias como para hacer eso, si yo soy una mierda pinchada en un palo y existe por ahí gente mucho más importante? Pues el gobierno extremista de turno, que se ha hecho con el poder en tu país hace poco y ha instaurado una dictadura, por supuesto. Además, ha tomado el control de las oficinas de Google, Facebook y Twitter de tu país. Casualmente, lees un periódico que se ha manifestado en contra de sus ideas, y has opinado sobre ello en redes. Un buen día sales de tu casa a comprar el pan. Tu móvil Android envía a Google tu ubicación en tiempo real. Llegas a la panadería. Unos señores están esperándote en la puerta, pero no te han visto todavía. Apagas tu móvil y tomas otro camino, pero otro señor te intercepta. Ya sabían dónde ibas porque eres predecible, gracias a los datos que has compartido. Después de la paliza que recibes, decides que lo único que harás, si te recuperas y sigues vivo, es ser un buen ciudadano y jugar sólo a videojuegos. Y todo por leer un periódico, pero no sólo por leer un periódico, sino por todo lo demás.
En el caso anterior, evidentemente, hemos metido ciertos supuestos exagerados a propósito. Es raro que una web hoy en día no vaya por https, aunque es más normal que no esté suficientemente protegida. Hace unos días, sin ir más lejos, se lanzó un ciberataque aquí en España contra múltiples medios independientes. Lo de las detenciones y las palizas aquí no pasa, pero podríamos irnos a Afganistán a ver qué nos cuentan.
Con toda esta información, hagámonos una tercera pregunta: ¿puede pasarme algo malo si me espían mientras navego? Otra vez, la respuesta es sí. Pero también puedes sufrir daños en el hígado si bebes alcohol, desarrollar cáncer de piel si tomas el sol sin protección, o contraer el coronavirus si vas por la calle sin mascarilla. Es un precio que pagamos, un riesgo que asumimos. Podemos elegir no pagar ese precio, en cuyo caso pagamos otro distinto (porque sin pagar, amigos míos, no nos vamos a quedar).
El concepto de web oscura no viene de los crímenes que se pueden dar en ese tipo de páginas, sino de la acción de oscurecer las comunicaciones para que un observador externo lo tenga mucho más complicado a la hora de saber quién eres. Y todo lo demás, son mitos diseñados a propósito por la industria, a la que no le interesa que te metas ahí.
Ahora vamos a hablar de Tor, una herramienta conocida que, como toda herramienta, puede usarse bien o mal. Tú decides si usas un cuchillo para apuñalar a una persona o para partir un filete. Existen servicios VPN y ajustes en el sistema operativo y el navegador que permiten mitigar los problemas de privacidad de más arriba, pero quiero centrarme en esta herramienta. De las otras ya se habla demasiado, lo que no significa que no sea bueno usarlas.
En el año 2001, un grupo de desarrolladores, viendo lo que se avecinaba, decidieron crear Tor con el objetivo de dar garantías de anonimato y privacidad en la red. Con el tiempo, Tor se ha convertido en una herramienta indispensable para otras dos cosas: evitar la censura, y defender los derechos humanos. Y sí, también se usa para delinquir, por desgracia.
Seguramente muchos os acordaréis del señor ese de las tierras del norte que va por ahí con un martillo. En realidad, Tor no hace referencia al dios de mismo nombre, sino que son las siglas de The Onion Router (el enrutador de la cebolla).
Tor es un programa que va por consola. Se ejecuta como demonio en Linux y puede ejecutarse como servicio en Windows. No tiene interfaz gráfica. Toda su configuración se hace de dos formas: editando el archivo torrc, o enviando señales de control mediante un mecanismo especializado y ciertos programas. El ejecutable de Tor puede ejercer todos los roles de la red Tor, sin utilizar programas diferentes para cada rol. De hecho, nos da la capacidad de montar una red Tor propia, si así lo quisiéramos. Los roles que puede haber en una red Tor son los siguientes, y una misma instancia de Tor puede asumir varios de ellos:
- Cliente: el cliente es el usuario, el que emplea la red Tor para conectarse a una página o a un servicio oculto.
- Repetidor: el repetidor tiene una misión simple y clara: sin hacer preguntas de ninguna clase, coge la información que recibe y la envía donde se le indica, y se encarga de llevar de vuelta las respuestas. Requiere un puerto abierto en el router, y configurar un par de claves pública-privada.
- Guardia de entrada: un repetidor que se comunica directamente con el cliente, y que monta circuitos. Si un repetidor está mucho tiempo en ejecución, se convierte en un guardia de entrada.
- Directorio: el directorio contiene información sobre los repetidores y servicios que se ejecutan en la red Tor. Si un repetidor funciona durante mucho tiempo, se convierte en un directorio.
- Repetidor de salida: último nodo del circuito. Es el responsable de descifrar la información que le llega y comunicarse con la web que el usuario quiere visitar. Estos repetidores necesitan configurarse de cierta manera para ser de salida, y escasean a causa de los riesgos a los que se exponen. La última vez que miré, había unos 1400.
- Directorio autoritativo: es el punto central de la red Tor, el que se encarga de gestionar el resto de directorios y demás.
- Puente: es un repetidor de entrada que no aparece en la lista de repetidores de entrada del proyecto Tor. Se usan para evitar la censura, y se almacenan en una base de datos especial. Hay que enviar un correo electrónico al proyecto para que te den la dirección de un puente.
Algunos cortafuegos pueden detectar y bloquear el tráfico Tor, así que los puentes pueden ir equipados con capas de cifrado extra. Las capas de cifrado requieren un puerto adicional abierto en el router:
- Meek: hace pensar al operador que nos conectamos a un sitio web relevante, como Microsoft Azure.
- OBFS4: ofusca el tráfico para que parezca cualquier cosa, menos Tor.
- Snowflake: disfraza el tráfico para que parezca una conexión WebRTC, de tal forma que el operador pensará que estamos en una llamada vo-ip muy larga.
Ahora bien: eso de un circuito, ¿qué es? ¿Y los servicios ocultos?
Cuando hacemos una petición a Tor, este contacta con un guardia de entrada y monta un circuito. En dicho circuito se escogen tres nodos: uno es el guardia, otro un repetidor, y el último un repetidor de salida. Cada circuito dura 10 minutos, a menos que se destruya antes o que la conexión permanezca abierta indefinidamente. El cliente conoce todos los nodos del circuito. Se puede montar un circuito con más de 3 nodos, pero eso sobrecarga la red Tor, ayuda a insertar nodos maliciosos en el camino y muestra un patrón de comportamiento que puede identificarte.
Antes de seguir, una advertencia: Tor no es para cualquiera, sino para quien sabe lo que hace. Si usas Tor, te expones a que te hagan daño como nunca te lo habían hecho antes. Yo lo uso durante periodos muy breves de tiempo, por ejemplo. El tráfico en toda la red Tor está cifrado con algoritmos muy fuertes, pero el tráfico no es lo único que importa cuando jugamos con estas cosas.
Por otro lado, si montas un repetidor, tienes que proporcionar un nick y un correo electrónico. Usar tu propio repetidor como cliente o conectarte a través de un puente mejoran el anonimato y aumentan el grado de protección, ya que un atacante externo no puede saber si el tráfico es tuyo o de otro usuario que ha elegido tu repetidor.
Finalmente, montar un repetidor de salida es peligroso, y lo mejor es utilizar un servidor VPS y tomar precauciones. No obstante, la policía llamará a tu puerta en algún momento, porque un delincuente usará tu repetidor para hacer cosas malas, y pensarán que las has hecho tú.
¿Qué son los servicios ocultos?
Un servicio oculto es un servidor que funciona por TCP (Tor no admite paquetes UDP, olvida usarlo para hacer llamadas), y al que se accede sin salir de la red Tor. Cualquier cliente Tor puede ofrecer uno o varios servicios ocultos, sin necesidad de abrir puertos en el router. Al conectarnos a un servicio oculto, el circuito está formado por 6 nodos: los 3 nuestros, y los 3 de la otra persona. En lugar de repetidores de salida, lo que hay es un punto de encuentro.
La dirección de un servicio oculto está formada por 56 caracteres aleatorios, y la terminación .onion (en español, onion significa cebolla). Se pueden usar los servicios ocultos para montar páginas web, pero también servidores Icecast de radio, SSH o NVDA Remote. Este último caso lo puse en práctica hace tiempo, y funcionó.
Como el tráfico en la red Tor está cifrado, desaparece la necesidad de usar https. La mayoría de servicios ocultos van por http abierto. No obstante, hay entidades de certificación, como DigiCert o Harika, que expiden certificados para dominios .onion. Let's Encrypt, por ejemplo, se niega a hacerlo a pesar de que están reconocidos oficialmente.
Todo esto está muy bien, pero ¿qué herramientas puedo usar para sumergirme en esta red oscura llena de anonimato?
Por defecto, Tor escucha en el puerto 9050. Cualquier programa que soporte servidores proxy de tipo Socks5 puede conectarse a ese puerto. Firefox, Chrome y los demás navegadores también pueden hacerlo, pero esto sólo implica que van a usar la red Tor y en ningún momento constituye garantía de anonimato.
El navegador Brave, por su parte, tiene soporte incorporado para Tor y permite abrir ventanas en modo Tor directamente. Está basado en Chromium, al igual que Chrome y Edge.
El proyecto Tor ofrece Tor Browser, un navegador basado en Mozilla Firefox. El programa Tor ya viene incorporado dentro del navegador, y configurado en modo cliente con varias medidas que garantizan seguridad y portabilidad. El navegador viene configurado en modo de navegación privada permanente (lo que implica eliminar cookies y datos al salir), varios ajustes desactivados para no enviar información a Mozilla, y un par de extensiones incorporadas: Noscript y HTTPS Everywhere. Es totalmente accesible para lectores de pantalla. La versión 11, la más reciente en este momento, está basada en Firefox 91 ESR (edición de soporte extendido). Como buscador por defecto, utiliza DuckDuckGo, que en sus políticas afirma no almacenar información sobre los usuarios que lo visitan. En lugar del puerto 9050, se usa el 9150 para admitir conexiones socks5, y sólo mientras el navegador esté abierto.
Enlace al último instalador en español de España. Versión 11.0.1 con Tor 0.4.6.8: https://www.torproject.org/dist/torbrowser/11.0.1/torbrowser-install-win64-11.0.1_es-ES.exe
Para acabar, quisiera hacer un par de recomendaciones:
- Las páginas web van a cargar más despacio al utilizar Tor. No esperes navegar a toda velocidad. No lo uses para descargar archivos de gran tamaño.
- Si visitas páginas web normales, asegúrate de que van por https. No olvides que el repetidor de salida podría ver lo que haces si se dan determinadas condiciones, e incluso averiguar quién eres.
- En la red Tor existen nodos maliciosos, pertenecientes a las autoridades o a atacantes malintencionados. De los primeros no hay nada que temer (¿o sí?), de los segundos sí. Hay programas, como Vanguards, que se ejecutan sobre Tor y realizan acciones evasivas para protegernos un poco más. Pero eso, si acaso, ya lo dejamos para otro día.
Si habéis llegado hasta aquí, gracias por leer. Espero que os haya gustado, y espero también que esto no nos traiga trabajo extra a los moderadores, que me la estoy viendo venir. Tor y la web oscura están para tenerles respeto, pero no miedo. Hay otras herramientas similares, como I2P, pero las veo más orientadas al crimen y de momento no pretendo investigarlas.
No dudéis en compartir experiencias y experimentos! Uno muy sencillo es meterse en una web de estas que te dicen cuál es tu dirección ip, pulsar f5 y ver cómo va cambiando.
Fuentes de información
Preguntas frecuentes del proyecto Tor: https://support.torproject.org/
Punteggio: +1
Ultima edizione da el_pichon, 27.11.2021 13:13:48